Fortinet/Fortigate vs. OPNsense

[Hunduster]

Hallo zusammen,

ich benötige mal Euren Rat.

Hintergrund ist, dass wir aktuell noch Sophos UTM im Einsatz haben, welche bekanntlich recht veraltet ist und nun zum Sommer 2026 endgültig abgekündigt wird.

Aus diesem Grund haben wir uns bereits im Frühjahr 2022 mit dem Thema beschäftigt und auf Anraten eines Systemhauses die halbe Produktpalette von Fortinet bestellt.

Forti war leider kaum Lieferfähig, sodass wir erst im Februar 2023 alles an Hardware erhalten haben. Unsere bestellten Lizenzen wurden aber im Sommer 2022 zwangsaktiviert. Nach mehreren Diskussionen mit Forti, wollte man uns dafür keinen Ausgleich geben, sodass dieser nun vom Systemhaus übernommen wurde - in Form einer Lizenzverlängerung hinten raus.

Aktuell sind wir in dem Projekt mit dem Systemhaus die Forti-Sachen zu konfigurieren. Um die Dienste der UTM abzulösen haben wir 2x Fortigate für HA, 1x FortiMail Applicane und 1x FortiSandbox Appliance.

Leider kommen mir allmählich Zweifel was das Ganze angeht. Als UTM Admin, der das Zeug die letzten Jahre quasi geatmet hat, werde ich speziell mit der Fortigate einfach nicht warm, wenngleich es wohl aktuell der heiße Sch*** auf dem Markt ist. Hinzu kommen immer wieder Fallstricken, die vorher vom Systemhaus nicht bedacht worden. Darunter wäre:

• Fortimail kann nur 10 SMIME Zertifikate
  • Wir müssen ein weiteres Produkt einsetzen um weiterhin SMIME machen zu können (wird leider von vielen Kunden gefordert)
• Wir haben nur eine Fortimail Appliance und damit keine Redundanz
• Fortigate hat keine richtige WAF und kann keine Hostheader
  • Ergo müssen wir für jeden einzelnen Webdienst eine dedizierte IP Adresse nutzen wodurch wir nun neue IPv4 Adressen einkaufen mussten

Generell zeigen sich immer mehr Fallstricken bei uns auf und man bekommt den Eindruck, dass wir nicht gut beraten worden und uns selber zu wenig Gedanken gemacht haben; das gebe ich zu. Dadurch wird das Ganze nur immer teurer und Fortinet ist nun auch nicht gerade günstig.

Im Homelab habe ich nun von UTM auf OPNsense gewechselt. Als Mailgateway setze ich Proxmox ein und bin wirklich sehr Happy mit den Lösungen. Alle UTM Admins die ich kenne haben ein ähnliches Konstrukt laufen.

Wenngleich Fortinet aktuell Leader in dem Bereich ist, tauchen OpenSource Produkte an der Stelle ja gar nicht in Erscheinung.

Natürlich sagt mir jeder, dass man nichts besseres als Fortinet im Business Bereich machen kann.
Dennoch frage ich mich, ob irgendjemand eine OPNsense, pfsense oder Vergleichbares guten Gewissens im Business Bereich aktiv laufen hat oder ob ich mich einfach auf Fortinet einlassen soll/muss.

[cobratc11.ls]

Wieso nicht auf eine neuere sophos serie wechseln?

[Hunduster]

vor 11 Stunden schrieb cobratc11.ls:

Wieso nicht auf eine neuere sophos serie wechseln?

Wir haben aktuell zwei XG in einer Niederlassung und sind mit der leider auch nicht Happy. Zudem hat Sophos massiv an Update-Qualität und Support nachgelassen. Dass haben wir die letzten Jahre leider auch merken müssen.

Normalerweise würde ich zudem nun sagen, dass Sophos bei Gartner ja massiv abgerutscht ist aber dann dürfte ich auch nicht nach OPNsense fragen…

[_n4p_]

vor 23 Stunden schrieb Hunduster:

Dennoch frage ich mich, ob irgendjemand eine OPNsense, pfsense oder Vergleichbares guten Gewissens im Business Bereich aktiv laufen hat

ja. woran scheitert denn das Gewissen?

[Hunduster]

vor 9 Minuten schrieb _n4p_:

ja. woran scheitert denn das Gewissen?

Kein oder wenig Geld auszugeben 😆
Ich habe meine Bedenken bezüglich des aktuellen Projekts bereits bei unserem CFO geäußert. Hier bekomme ich jedoch zu hören, dass man OPNsense/pfsense nicht einsetzen könne weil man das ja niemandem erzählen dürfte, dass man hier nicht "state of the art" und  nach Business Standard unterwegs ist. Man könne das vor den Kunden nicht vertreten in dem Bereich auf open Source zu setzen.

Ist eigentlich ganz witzig die Argumentation, da wir auf der anderen Seite zu 98% on Prem unterwegs sind und auch Nextcloud exzessiv und auch mit den Kunden nutzen.

[_n4p_]

dann ist pfSense ja kein Problem .. so richtig open ist es ja nicht mehr

also die CE Edition würde ich auch nicht nochmal installieren, eher wird unser weg hin zu pfSense+ gehen. Und für dein gutes Gewissen kannste auch gleich ne netgate 6100 oder 8200 (bzw zwei) kaufen

[Hunduster]

Ich habe nun einige OPNsense auf gepimpter Sophos Hardware laufen und das Ganze einwandfrei. Aber ich werde wohl noch einmal den Weg in der Firma vorschlagen. Aktuell ist das Ganze Fortigedöns wirklich ein Fass ohne Boden...

[Freaky]

Am 3.6.2023 um 21:43 schrieb Hunduster:

Ich habe nun einige OPNsense auf gepimpter Sophos Hardware laufen und das Ganze einwandfrei. Aber ich werde wohl noch einmal den Weg in der Firma vorschlagen. Aktuell ist das Ganze Fortigedöns wirklich ein Fass ohne Boden...

Hi,

Ich weiß der Thread ist jetzt schon etwas älter, aber kannst du uns vielleicht erzählen wie es ausgegangen ist?

Was setzt ihr jetzt ein?

Wir stehen aktuell auch vor der Frage Sophos XG oder eine andere Alternative.

Das Thema OpenSource ist meiner Meinung nach sogar noch "sicherer" als irgendwelche proprietären Lösungen, da mehrer Menschen ein Auge auf den Code haben und somit Lücken schneller erkannt werden.

Vielleicht kannst du uns ja hier ein Update geben.

 

LG

[Hunduster]

vor 6 Minuten schrieb Freaky:

Hi,

Ich weiß der Thread ist jetzt schon etwas älter, aber kannst du uns vielleicht erzählen wie es ausgegangen ist?

Was setzt ihr jetzt ein?

Natürlich, gerne.

Den Zuschlag hat Fortinet bei uns bekommen. Aussage der GF waren so Dinge wie: „was nichts kostet ist auch nichts“ etc. Seit der Diskussion kommt der oberste CEO auch gern mal in mein Büro wenn er irgendwo gelesen hat, dass es eine Lücke in Linux gibt - bei Windows wird nur mit den Schultern gezuckt…

Wie dem auch sei: wir haben nun an allen Niederlassungen Fortigates im Einsatz. Dazu noch FortiSwitch, Fortimail und Fortisandbox.

Ich muss auch sagen, dass die Dinger einiges können und richtig machen, ich sie jedoch bis heute nicht mit der gleichen Leidenschaft administriere wie es bei Sophos UTM oder OPNsense der Fall war/ist. Irgendwie werde ich nicht warm mit den Dingern.

Was mich persönlich bei Forti am meisten stört sind die Kosten; wenngleich es nicht mein Geld ist. Jedoch bezahlst du hier für jeden Dreck Geld - richtig Geld. Du musst auch ausnahmslos alle Geräte, selbst APs unter Support stehen haben, sonst knippsen sie dir die Firmwareupdates ab.

Mein schlimmstes Erlebnis war die Fortimail:

1. Musst du jemanden finden, der das Ding einrichten kann
   Gesamte Bechtle-Gruppe z.B. hat keinen einzigen Mitarbeiter der das kann trotz Forti Gold+++Whatever Status
2. Hat man uns eine Fortimail 200 verkauft die ab Werk 10 S/MIME Certs kann und uns wurde erzählt, das dies ein Lizenzthema wäre.
   Als wir dann mehr als 10 Certs bespielen mussten, gab es kein Lizenzupgrade. Eine neue Appliance musste her. Also von der 200er mal eben auf Provider-Niveau -> 400er. Und auch diese kann „nur“ 100 Certs. Zitat Forti: „S/MIME macht kein Mensch, dass machen nur die Deutschen“. PGP kann das Dingen gar nicht!

Fazit: Die Fortis kosten richtig, richtig Schotter aber bringen auch echt gute Features mit. Die Fortimail hat all unsere SPAM-Thematiken gelöst, die bei der UTM die letzten Monate durchgegangen sind. Ein Proxmox Mail Gateway, selbst mit zig Anpassungen unter der Haube kommt da nicht ansatzweise ran.

Die Fortigates sind, aus der UTM Welt kommend, einfacher zu erlernen als Palo oder XG dennoch wird man hier einen Partner bei der Ersteinrichtung benötigen und wohl auch noch etwas Zeit darüber hinaus. Wichtig ist es Erfahrungen bei den Updates zu sammeln da ma hier immer 2-3 Versionen hinterher hängen sollte.

Status heute ist, dass ich die Fortis nicht zu 100% selbst bedienen kann, was aber auch an einer persönlichen, inneren Barriere liegt. Im Enterprise würde ich zu Forti raten. Bei kleineren Buden oder privat immer OPNsense - erstere mit Subsciption - kostet einfach kein Geld und ist stabiler.

XG war für mich nie eine Option da ich die Dinger zu verschachtelt finde und eher was für die Klicki Bunti Admin Generation. Leider, da ich die UTM geatmet habe. Aktuell tut sich unfassbar viel mit den Herstellern, die einem Jahrelang vertraut und das Brot & die Butter waren: Sophos, HPE/Aruba, VMware etc… 

 

[ErB777]

vor 2 Stunden schrieb Hunduster:

Die Fortigates sind, aus der UTM Welt kommend, einfacher zu erlernen als Palo oder XG

XG war für mich nie eine Option da ich die Dinger zu verschachtelt finde und eher was für die Klicki Bunti Admin Generation.

Da ich täglich mit Sophos Firewall zu tun habe, kann ich gewissermaßen zustimmen,  dass die Umstellung von UTM auf XG(s) nicht gerade einfach war. Gerade die ersten Version (bspw. 17 und 18) waren auf der XG noch nicht voll ausgeschöpft. Dazu noch so wichtige Funktionen wie Objektverknüpfungen (z.B. Objekt A ist mit Firewall Regel Z gekoppelt) kamen erst sehr spät dazu.

In Allgemeinen sind die Sophos XGS sehr gute Firewalls für  den Enterprise Bereich. Es lässt sich ohne große Probleme ein Hochverfügbarkeitscluster aufbauen. Am Ende kommt es für jeden Nutzer darauf an, ob man mit der Logik der Menüführung zu recht kommt. Hier hat Sophos bestimmte Gruppen zu einer großen Obergruppe zusammengefasst. Die WAF Funktion zu Firewall-Regeln migriert. Das meiste wird im WebGUI der Firewall eingestellt. Nur die wenigstens Parameter/Einstellungen (Route Preference [SD-WAN, Static Route]) müssen über die Konsole eingestellt werden.